Появляется вредоносный скрипт на сайте =(
Страницы: 1 2 След.
Появляется вредоносный скрипт на сайте =(
Всем привет, есть сайт money-new.ru так вот вчера начал появляться сторонний скрипт на сайте а именно в header.php и в двух папках css и js появляются сторонние скрипты!!!
Подскажите как это остановить?
header.php вызывается практически на всех страницах сайта, вот думаю если изменить его название то это поможет? Или взломщик имеет доступ ко всем php на моём сайте?
Скачайте самые новые фильмы торент

Прогон по твиттеру, постинг в 1500 аккунтов
Постинг в твиттер аккаунты, для ускорения индексации ваших сайтов, сателлитов, дорвеев.

Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно  /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php,  utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php,    start.php,     db.php,      defines.php,    model.php,   view.php,    css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/  
Цитата
xschneider пишет:
Цитата
Олег Былинкин пишет:
Цитата
xschneider пишет:
Как понимаю, у вас wordpress... а скрипты с рандомным именем типа dirs.php, renovation.php, title.php, utf.php и т.д. ?
Нет не вордпресс.. Там своя система, не CMS но да появляются скрипты типа images.js и css.php
А в самом header.php появляется <script>тут какая то хрень</script>
Да, извините, я ляпнул, не глянув на сайт. Просто недавно на вордпрессе словил вирус - там создавались php-файлы с почти рандомным названием и зашифрованным кодом внутри. Как я решил проблему (мне легче, так как сервак стоит дома свой). Я остановил сайт, а именно /var/www/название сайта переименовал /var/www/название сайта_stop. Я тогда сразу заметил в шаблонном header.php спрятанный скрипт. Проверял для начала сайт ai-bolit антивирусником, хотя его врядли так можно назвать, просто поиск скриптов, похожих по сигнатуре на вирусы. А потом вручную искал через ssh по именам файлов (имена файлов мне выдал ai-bolit и вручную кое-что нашел). Все удалялось вручную. У меня были примерные имена файлов такие: article.php, title.php, config.php, renovation.php, login.php, session.php, utf.php,dirs.php,inc.php,include.php,cache.php,page.php,user.php,general.php, global.php, system.php, start.php, db.php, defines.php, model.php, view.php, css.php,info.php.Очень советую использовать ai-bolit скрипт. Он бесплатный и скачать его можно по адресу http://revisium.com/ai/
У меня тоже свой сервер дома. Но вы не совсем поняли, я очистил от вируса ещё вчера. Всё было нормально, но утром сного появился только уже с другими файлами и другим кодом... Сейчас всё очистил, но боюсь повторения! Вот суть вопроса состоит в том, как защитить себя? Это иньекция или кто то получил доступ к файлу? Если иньекция то можно же просто изменить название с header.php на что то другое и по логике взломщик не сможет определить новое название? Или я не в том направлении думаю)
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
Открой свой магазин за 5 минут, их товары, их обслуживание, с тебя только клиенты >>> РЕГИСТРАЦИЯ <<<
Скрин выплат по запросу.
Рефералам помощь.
Цитата
xschneider пишет:
Тогда такой вопрос: есть вероятность того, что кто-то подобрал пароль от админки или доступа к серверу? Может быть с самого начала в подключаемых js-скриптах сидел бэкдор?
У меня стоит блок на доступ к фтп всем кроме моего второго пк, точнее никто из инета не сможет войти на фтп только по локалке и только один ip
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
В принципе, согласен. Если в одном из файлов вредоносный код остался, он может, допустим при заходе на сайт-при обработке этого скрипта, создавать заново файлы и раскидывать их по папкам
Цитата
Алексей SP пишет:
Ищите код который расставляет эти скрипты, сверяйте содержание каждого файла с оригиналом.
Обычно ломают, запихивают код, и он расставляет скрипты в определенное время после удаления.
А как код может приблизительно выглядеть? И в каком расширении файла он залазеет? в php? Скорее всего в кроновский скрипт могли внести да? потому что без крона как он будет выполняться в определённое время?
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Цитата
xschneider пишет:
Бывает, что, если есть возможность заливать картинки или аватары, а скрипт заливки (какой-нибудь upload.php не защищен), то можно залить картинку с вредоносным кодом.
Кстати да, надо посмотреть) Это один из вариантов!
[COLOR=#005187]Troj/JsRedir-OY[/COLOR] Вот сам вирус.
Если cron, то смотрите в cron.daily, cron.daily, cron.monthly
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Цитата
xschneider пишет:
Извините, не помню как смотреть через консоль.... crontab -l или нет..(((
Да, вроде так, но у меня на серваке перестала работать такая команда, поэтому я смотрю в /etc/cron*
Страницы: 1 2 След.
Похожие темы:
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Новые темыОбъявленияСвободное общение
20:44 На каких биржах ссылок востребован ИКС? 
19:29 Сюрприз от Яндекса. -200 позиций. 
19:21 Сколько внутренних ссылок максимально может быть на странице 
19:20 Падение позиций с мобильного поиска 
18:37 Пинг сервисы 
16:07 АП выдача 16.11 
15:30 Adtrafico - Правильная партнёрская сеть под бурж трафик 
19:02 Продам базы данных предприятий Украины, СНГ, ЕС, ЮВА. 
18:34 Статейные ссылки по низкой цене и с хорошим качеством 
17:29 Аккаунты Facebook (Для пуска рекламы, читайте описание.) 
17:07 Программы для рассылок, накрутки, продвижения и ведения аккаунтов в skype, instagram, vk, ok, avito, lenta.ru 
17:00 Оценка сайта 
14:03 Сервис тизерной рекламы Аdventus, ваша волна прибыли! 
13:35 Профессиональное ведение каналов в Ютубе, Белое продвижение, Услуги в соц. сетях 
20:00 Заходишь на форум в час ночи по МСК и понимаешь 
14:24 Стоит ли играть в казино? 
15:24 Новая тизерная сеть Actionteaser.ru 
14:57 Кидок 
14:05 Отзывы об INWOXER 
12:40 Вылетели страницы из гугл 
12:15 Хакатон команда